POINT DE VUE
New Security Magazine 144 – octobre 2017
Qui comblera le fossé entre protection physique et cybersécurité ?
Edwin Roobol (Regional Director Middle Europe Axis Communications) : Le défi, à notre sens, c’est que l’équipe chargée de la protection physique et le service informatique ont à première vue des visions et des priorités fort différentes, et qu’ils ne se comprennent pas toujours très bien. La protection physique vient de Mars, le service IT de Vénus.
Pour combler le fossé, il faut commencer par utiliser une terminologie qui est familière aux deux parties.
Jadis, lorsque les cybercriminels n’étaient encore que des gamins boutonneux, il existait deux mondes bien distincts : la cybersécurité, d’une part, et la protection physique (avec dispositifs d’ouverture de portes et caméras de surveillance) de l’autre. Mais aujourd’hui, cette différence s’estompe et l’on ne sait plus toujours très bien qui est responsable de quoi... Avec, à la clé, des hiatus relativement importants. D’autant que les cybercriminels sont devenus des professionnels aguerris qui ont le flair pour trouver la faille. Nous avons vu ce que cela donne : fin 2017, une attaque massive de botnets a visé des millions d’appareils connectés, dont un grand nombre de caméras de surveillance. Comment faire pour écarter ce péril à jamais ?
Pendant longtemps, la protection physique était purement analogique; la seule et unique connexion avec le réseau informatique se situait tout en bout de course. Les responsables de la sécurité physique n’avaient donc aucun souci à se faire pour la protection du réseau, tandis que les informaticiens ne devaient pas non plus craindre la vulnérabilité excessive de caméras ou autres dispositifs... Même s’il est vrai qu’il a toujours été possible de pirater des systèmes analogiques (comme un écoute-bébé ou une télécommande de porte de garage). Mais à présent que les systèmes de protection basés sur le réseau sont devenus la nouvelle norme, avec tous les avantages que cela implique, chacun doit se rendre compte que la situation n’est plus du tout la même.
Le défi, à notre sens, c’est que l’équipe chargée de la protection physique et le service informatique ont à première vue des visions et des priorités fort différentes, et qu’ils ne se comprennent pas toujours très bien. La protection physique vient de Mars, le service IT de Vénus. Souvent, si l’un des interlocuteurs ne comprend pas de quoi l’autre parle, c’est tout simplement une question de jargon. Mais on a régulièrement l’impression d’assister à un conflit frontalier ou à une bagarre pour éviter la garde d’un enfant non désiré : la protection physique considère que la cybersécurité n’est pas son affaire, et l’informatique ne se rend peut-être même pas compte de l’éventuelle vulnérabilité des appareils qui ne semblent pas avoir d’utilisateurs ou de propriétaires clairement établis.
Une phrase me trotte en tête après un échange récent avec un client au sujet de la cybersécurité : « Nous ne sommes pas le Pentagone. » Autrement dit, « nous sommes heureux qu’Axis réfléchisse à ces questions, et tout cela est bien intéressant, mais nous ne nous en soucions pas outre mesure pour l’instant. » Et tant qu’on n’a pas subi d’attaque (ou, du moins, tant qu’on ne s’en est pas rendu compte), cette réplique est souvent suivie par l’argument suivant : « La cybersécurité, c’est du ressort du service informatique. Moi, je dois juste m’assurer que le bâtiment est sécurisé ». En revanche, quand je m’entretiens avec l’équipe informatique, je m’aperçois qu’elle n’est pas toujours au fait de la vulnérabilité potentielle des caméras réseau non sécurisées.
Comment combler ce fossé ?
Autrement dit, comment notre secteur peut-il faire en sorte que les responsables de la protection physique prennent aussi la cybersécurité au sérieux ? Et comment faire pour que l’équipe chargée de la sécurité informatique puisse dialoguer avec ces derniers dans un langage qu’ils comprendront ? À vrai dire, cela n’a rien de sorcier. Il suffit d’utiliser une terminologie qui leur est familière à tous les deux (voir tableau).
Ne pas attendre Mirai
Bien entendu, toutes les entreprises ou organisations ne sont pas logées à la même enseigne. Parfois, il arrive même que la communication entre les deux départements soit bonne, et que tout le monde soit conscient des menaces qui requièrent une réponse commune. J’ai découvert qu’on peut subdiviser les organisations en trois grandes catégories, selon leur degré de compréhension des menaces. Tout en haut, on trouve des entreprises dont la marque, les activités ou la crédibilité reposent sur la confiance et la sécurité; c’est notamment le cas des banques. En règle générale, la sécurité (physique et informatique) fait partie de leurs priorités principales et de leur culture d’entreprise. Elles se montrent souvent quelque peu circonspectes lorsqu’il s’agit d’acquérir de nouvelles technologies, et ne sautent le pas que quand elles ont l’assurance que leur sécurité n’est pas menacée. C’est principalement le cas lorsqu’il s’agit de nouveaux appareils à raccorder sur leur réseau - caméras, systèmes de contrôle des accès, etc. Il est vraisemblable que leurs informaticiens ne donneront leur feu vert que si leur origine est sûre et qu’ils ont été testés et installés dans les formes.
On a ensuite les entreprises qui ont conscience de leur vulnérabilité potentielle, mais qui ne disposent pas des compétences spécifiques en interne pour analyser correctement le risque et l’atténuer. Elles sont ouvertes aux conseils, mais il ne s’agit pas pour elles d’une priorité critique. Cette catégorie est sans doute la plus exposée au risque : leurs réseaux sont si complexes que leur gestion requiert un plein temps, mais elles ne disposent pas pour autant des ressources qui leur permettraient de contrôler correctement chaque appareil qu’elles raccordent au réseau.
Enfin, les entreprises qui sont généralement de plus petite taille n’ont qu’une compréhension fragmentaire de la cybersécurité, et ignorent totalement que des appareils tels que des caméras doivent être protégés avant d’être raccordés à un réseau. Elles ne disposent que rarement d’un directeur IT à plein temps, ni même d’un responsable chargé uniquement de la protection physique. Pour ces entreprises, une installation très simple et automatisée constituera une solution idéale, car complète. Les caméras Companion d’Axis, par exemple, combinent un dispositif d’enregistrement, des cartes mémoire et un logiciel de gestion vidéo.
Au final, il faut que les deux services – l’informatique et la protection physique – estiment que le problème est suffisamment important pour travailler ensemble, et qu’ils ne renvoient pas la proverbiale « patate chaude » à l’autre jusqu’à ce qu’il soit trop tard. Mais comment y parvenir ? Malheureusement, cette situation s’est répétée à plusieurs reprises ces derniers temps. Voici quelques mois à peine, l’attaque du botnet Mirai a démontré à quel point l’Internet des objets peut être aussi vulnérable qu’il est omniprésent : deux caractéristiques qui font de ces appareils de l’IoT des proies idéales pour les pirates informatiques. En quelques mois à peine, des cybercriminels ont infecté des millions d’appareils, y compris des caméras réseau, des enregistreurs vidéo numériques, des routeurs domestiques, etc. En septembre 2016, c’est une attaque par DDoS (déni de service distribué) qui a frappé KrebsOnSecurity.com, le site Internet d’un éminent journaliste spécialisé dans la sécurité. Un mois plus tard, elle a été suivie par la plus grande attaque DDoS de toute l’histoire; cette fois, la cible était Dyn.com, une des clés de voûte de l’internet américain dont dépendent des services tels que Netflix, Spotify et Amazon.
On pourrait objecter à juste titre que notre civilisation occidentale peut rater le dernier épisode d’Orange is the New Black sans risquer de sombrer, mais ces attaques permettent de prendre la mesure du danger que représentent les dispositifs de protection physique mal protégés contre les hackers. La plupart des appareils infectés avaient des mots de passe faciles à deviner, qui n’avaient jamais été modifiés, ou pire encore, des mots de passe qu’il était impossible de modifier. Certains d’entre eux hébergeaient des « chevaux de Troie », ces failles laissées intentionnellement par le constructeur en phase de développement pour pouvoir supprimer les bogues plus facilement, mais jamais refermées durant la production. En décembre 2016, il s’est avéré plus de 80 % des caméras d’un grand constructeur présentaient des failles de ce type. Un mois plus tard, le Washington Post rapportait que la police de Washington avait été dans l’incapacité totale d’utiliser ses caméras de surveillance car 70% de ses dispositifs de stockage avaient été piratés.
Une infection n’est pas toujours visible
Une chose est sûre : il y aura d’autres attaques. L’Internet des Objets est actuellement une cible facile, surtout parce que nous sommes encore peu nombreux à nous en préoccuper; par conséquent, personne ou presque ne remarque qu’une attaque s’est produite jusqu’à ce qu’il soit trop tard. Comme l’a montré Mirai, une cyberattaque n’influence pas toujours immédiatement son hôte, et à moins de se montrer très vigilant, la probabilité de détecter une infection n’en est que plus réduite. Autrement dit, ce n’est pas parce qu’un appareil ne se comporte pas de façon suspecte qu’il est intact.
Par Edwin Roobol, Regional Director Middle Europe Axis Communications
« Au final, il faut que les deux services – l’informatique et la protection physique – estiment que le problème est suffisamment important pour travailler ensemble, et qu’ils ne renvoient pas la proverbiale « patate chaude » à l’autre jusqu’à ce qu’il soit trop tard. »
« Ce n’est pas parce qu’un appareil ne se comporte pas de façon suspecte qu’il est intact. »
« L’Internet des Objets est actuellement une cible facile, surtout parce que nous sommes encore peu nombreux à nous en préoccuper; par conséquent, personne ou presque ne remarque qu’une attaque s’est produite jusqu’à ce qu’il soit trop tard. »
